Cette année, les données de santé sont au centre de nombreuses réglementations qui révolutionnent radicalement leur traitement. Pour les hébergeurs de données de santé à caractère personnel (HDS), les changements sont encore plus marqués. Une nouvelle ère s’ouvre, à laquelle le GIP MiPih s’est déjà conformé.
Une double règlementation
Depuis le 25 mai dernier, le RGPD (Règlement Général sur la Protection des Données) a conduit à une refonte globale du système de protection des données. En parallèle, les HDS sont visés par une ordonnance du 12 janvier 2017 qui remplace la procédure d’agrément par une procédure de certification. Cette nouvelle démarche renforce les mesures de sécurité pour l’hébergement de données.
Les conditions autour de la sécurité des données de santé se sont donc accrues avec cette certification. « Pour l’agrément, 76 exigences de sécurité étaient requises et les réponses apportées par les HDS étaient purement déclaratives. Désormais, non seulement les exigences sont passées à 296, mais la mise en conformité est contrôlée et auditée par un organisme indépendant accrédité par le COFRAC », explique Bernard Lagarde, chef de produit marketing, hébergement et infogérance au MiPih.
Le MiPih, premier et unique HDS certifié en France
Le MiPih, leader dans le domaine des systèmes d’information hospitaliers, est le premier, et actuellement le seul en France, hébergeur de données de santé audité avec succès sur l’ensemble du référentiel HDS (Hébergeur d’infrastructure physique et Hébergeur infogéreur).
Protection physique des data centers (accès des personnes, contrôles, vidéo surveillance…), infrastructures informatiques, sauvegarde des données, etc. ont donc été passées au peigne fin.
Cette certification, largement anticipée par le MiPih qui travaillait en ce sens depuis plus de 3 ans, a été obtenue en deux étapes. Le 12 avril dernier, AFNOR Certification certifiait le MiPih ISO 27001:2013 pour les activités « hébergement d’infrastructure physique et hébergement avec infogérance technique et applicative concernant les données à caractère personnel ». Le 29 juin, les exigences complémentaires publiées sur le site de l’ASIP ont été auditées et validées.
Cette mise aux normes constante en matière de sécurité constitue la préoccupation principale du groupement d’intérêt public, hébergeant les données de 315 établissements de santé dans ses data centers de Toulouse et d’Amiens.
Un gage de fiabilité pour ces établissements, que vient renforcer l’obtention de la nouvelle certification.
